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(57) Abstract 



The invention concerns a chip card (21) comprising data processing means and main data storage means, wherein the processing 
means include: means for detecting, while the chip card is operating, that the main storage means contain an amount of data such that an 
operation cannot be executed; means for selecting, in the main storage means, a set of data to be unloaded (K), whereof the unloading 
can release In the main storage means a space sufficient for executing said operation; means for unloading the set of data to be unloaded 
(K) into secondary storage means (23 to 25). in the event said secondary storage means do not contain said data set to be unloaded. The 
invention also concerns the associated communication method and protocol. 
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(57) Abrege 

L'invention conceme une carte i puce (21) comprenant des moyens de traitement de I'information et des moyens de '"^"'orisation de 
lMnfom,rorScSSrdans laquelle les moyens de traitement comprennent: des moyens pour detecter, au cours fonc .onncmen de 
a cSTa pTcc que'es moyens de mdmorisation principaux contiennent une quantitd dMnfonnations telle que ' 

n-esl pas possible- des moyens pour s61ectionner. dans les moyens de mdmorisation pnnc.paux. un ensemble d mfonnat.ons a dech^rger 
K) don le dSargement Jeu, Lrer dans les moyens de m6morisation principaux un espace suffisant pour a«tonser r^^^^ ad te 
opLtion- des moyens pour dteharger I'ensemble dMnfoimations i ddcharier (K) dans des moyens de memonsat on seconda.re 23 a 25 . 
Sn^le cks oulLdits moyens de memorisation secondaires ne contiennent pas ledit ensemble d'.nfonnat.ons a decharger. L mvent.on 
conceme aussi le proc6d6 et le protocole de communication associds. ^ ^ — . 
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Titre : 

Carte ^ puce comprenant des moyens pour gerer une memoire virtuelle, 
proc^dS et protocole de communication associ^s. 

5 La presents invention concerne une carte a puce comprenant des 

moyens pour gerer une memoire virtuelle. 

Depuis une vingtaine d'annee, la carte a puce prend une grande 
place dans la vie courante. Le domaine bancaire s'est interess§ le premier 

10 aux cartes a microcircuit : leur principal avantage est de diminuer la frauds. 
Les societes de television a peage et de radiotelephonie les utilisent comme 
moyen de generation des cles qui servent a chiffrer et dechiffrer des 
emissions cryptees. Pour garantir la securite, ii a fallu creer une nouvelie 
architecture de circuit integre. Les cartes de type porte-monnaie 

15 electronique contiennent une somme d'argent 6lectronique ; d'autres cartes, 
dites de fidelite, procurent des avantages financiers a teurs proprietaires. 

On le voil, les appareils en relation avec des cartes a microcircuit 
et plus particulierement les cartes a microprocesseur, sont utilisables dans 

20 un nombre de plus en plus grand d'applications. Au d§but, le syst^me 
d'exploitation des cartes, c'est a dire le programme situ§ en m6moire ROM. 
ne pouvait gerer qu'une seule application. Le systeme d'exploitation est 
inscrit au moment de la fabrication du micro-circuit. En augmentant la tailie 
de la memoire programme (ROM) et de la memoire programmable non 

25 volatile (EPROM et EEPROM, de nos jours FeRAM), le systeme 
d'exploitation peut executer davantage de fonctions. Mais le nombre de ces 
fonctions est toujours limite par la taille de la memoire ROM. De plus, le 
rajout d'une fonction supplementaire dans la ROM implique de r6aliser un 
nouveau masque ; cette realisation coute tres cher et n'est v6ritablement 

30 rentabilisee que si une grande quantity de cartes sont concern^es. 
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Un moyen d'augmenter le nombre de ces fonctions sans toucher 
^ la memoire ROM consiste a ecrire dans la memoire programmable, du 
programme executable ainsi que des donn^es permettant de le faire 
fonctionner. II est ainsi possible de rajouter des fonctions suppl6mentaires a 

5 un systdme d'exploitation qui ne possede au depart qu'un nombre fige de 
fonctions. La demande de brevet FR.A-2.748.134 decrit un moyen de 
charger du programme dans la memoire programmable. Mais la memoire 
programmable est d'une taille limitee : une fois remplie avec un programme, 
il n'est plus possible de rajouter de fonctions. De plus, le stockage de ce 

10 programme s'effectue au detriment de la place memoire destinee aux 
donnees dans la memoire programmable. Le precedent proc6de s'utilise 
pour corriger certaines imperfections du programme situe en ROM ou pour 
rajouter quelques autres fonctions. Si une carte dolt executer un programme 
d'une taille tr§s importante, le precede decrit dans ce document peut 

15 s'av6rer insuffisant. 

La presente invention a pour objet de resoudre ce probl§me en 
proposant une methode de chargement et d^chargement de la memoire 
programmable en fonction des besoins en ce qui concerne les programmes 

20 eVou les donn§es applicatives, pour un dispositif de traitement de 
I'information constitue par une carte. Ainsi, il devient possible a celle-ci 
d'ex§cuter des applications tres diverses telles que : Porte-Monnaie 
Electronique, application bancaire, telephonie GSM ou application sante 
actuellement experimentee en FRANCE. A Taide de la presente invention. 

25 les applications qui viennent d'etre enumerees sent virtuellement dans la 
carte. Le proprietaire de la carte les a chargees au prealable ; ainsi. la carte 
est configuree selon ses propres besoins. 

• La presente invention permet aussi de resoudre un autre 
30 probl^me. Un utilisateur peut avoir besoin d'ouvrir en m§me temps deux fois 
une mfeme application. L'execution de cette application dans un dispositif de 
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traitement de rinformation tel qu'une carte dure un certain temps. Pour 
acc6lerer le traitement, il est avantageux de pouvoir commencer une 
seconde execution d'application avant la fin de la premiere. Ainsi, le meme 
programme se d6roule deux fois en meme temps. 

5 

Le but est atteint par le fait que la carte est dotee d'un systeme 
d*exploitation comprenant au moins trois fonctions : 

- Chargement d'informations applicatives. 

- Dechargement d'informations applicatives. 
10 - Execution d'informations applicatives. 

Pour acquerir une nouvelle application, la carte revolt des 
informations applicatives dans sa memoire programmable et controle ces 
informations. 

Lors d'une commande regue d'un lecteur cooperant avec la carte 
^15 en vue d'executer une application, le systeme d'exploitation de la carte 
analyse le contenu de sa memoire et determine s'il y a lieu d'appeler le 
reseau pour decharger une partie de sa memoire, et/ou de recharger des 
informations applicatives precedemment dechargees. 

Lors du rechargement d' informations applicatives, le systeme 
20 d'exploitation de la carte verifie que les informations chargees ont 6te 
validees par elle dans le pass§. Ces informations sont ensuite execut^es. 

Le reseau peut etre considere comme une extension de la 
memoire programmable de la carte : celle*ci y envoie ce qu'elle ne peut 

25 garder dans sa propre memoire. Elle controle, lors du rechargement, que les 
informations revues du reseau sont bien celles qu'elle avait prealablement 
envoy6es. La memoire ROM de la carte doit disposer d'un mecanisme de 
gestion de la memoire programmable qui lui permet de charger et d'executer 
un nombre illimite d'application, Des lors, les tallies des memoires ROM et 

30 programmables de la carte ne sont plus une limitation au nombre 
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tfapplications executables. et il n'y a plus besoin d'effectuer un nouveau 
masquage lors du rajout d'applications. 

En resume, invention concerne une carte a puce comprenant des 
moyens de traitement de rinfonnation et des moyens de memorisation de 
5 I'information principaux. caracterisee en ce que les moyens de traitement 
comprennent : 

- des moyens pour detecter, au cours du fonctionnement de la carte a 
puce, que les moyens de memorisation principaux contiennent une quantite 
d'informations telle que I'execution d'une operation n'est pas possible ; 

10 - des moyens pour selectionner. dans les moyens de memorisation 

principaux. un ensemble d'informations a d6charger. dont le dechargement 
peut liberer dans les moyens de memorisation principaux un espace suffisant 
pour autoriser I'execution de ladite operation ; 

- des moyens pour decharger I'ensemble d'informations a decharger 
15 dans des moyens de memorisation secondaires. dans le cas ou lesdits 

moyens de memorisation secondaires ne contiennent pas ledit ensemble 
d'informations a decharger. 

Uinvention concerne aussi le precede associe. Elle concerne enfin un 
20 protocole de communication entre une carte a puce et un lecteur de carte a 
puce, la carte comprenant des moyens de traitement de I'infonnation et des 
moyens de memorisation de I'infomnation principaux, caracterisd en ce qu'il 
comprend les etapes consistant en ce que : 

-le lecteur transmet a la carte un ordre d'execution d'une operation ; 
26 .-la carte recherche si. pour ex6cuter cette operation, elle dispose 

d'une place suffisante dans les moyens de memorisation principaux ; 

-dans I'affirmative. la carte execute ladite operation puis transmet un 
compte-rendu d'execution au lecteur ; 

-dans la negative, la carte selectionne dans les moyens de 
30 memorisation principaux un ensemble d'informations a decharger dont le 
dechargement peut liberer dans les moyens de memorisation principaux un 
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espace suffisant pour autoriser Texecution de ladite operation, puis la carte 
decharge Tensemble d'informations a decharger dans des moyens de 
memorisation secondaires en transmettant un ordre de dechargement au 
iecteur, dans le cas ou lesdits moyens de memorisation secondaires ne 
5 contiennent pas ledit ensemble d'informations a decharger, puis elle execute 
ladite operation puis transmet enfin un compte-rendu d'execution au lecteur. 

D'autres details et avantages de la presente invention apparaitront 
au cours de la description suivante de quelques modes d'execution preterms 
10 mais non iimitatifs, en regard des dessins annexes sur lesquels : 

La figure 1 represente un reseau de traitement de donnees utilise 
par rinvention ; 

La figure 2 represente un dispositif de traitement de information, 
utilise dans la figure 1 et cooperant avec une carte a puce ; 
15. -r- La figure 3 represente une variante de la figure 2. dans laquelle le 

dispositif de traitement de information integre les fonctionnalites de la carte 
a puce; 

La figure 4 est une variante de la figure 2, ou le dispositif de 
traitement de information est equipe d'un dispositif de lecture d'une piste 
20 optique ; et 

La figure 5 represente une variante de la figure 3. 

Sur la figure 1 , un terminal 20, apte a lire une carte a puce , ou un 
terminal 22 integrant des fonctionnalites de carte a puce cooperent avec des 

25 banques de donnees 23 a 25 distantes et reliees a ceux-ci par un reseau de 
communication de donnees 26. Le reseau de communication de donnees 26 
est notamment un reseau telephonique, le reseau Internet, ou tout autre 
reseau de communication de donnees. Cheque banque de donnees 
comprend une unite centrale de traitement de donnees gerant une memoire. 

30 Selon rinvention, et comme precise ci-apres, la carte 21 ou le terminal 22 
peuvent, lorsqu'ils detectent que le chargement d'une nouvelle application 
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dans ceux-ci n'est pas possible en raison d'un manque de place m§molre . 
decider de d6charger vers une des banques de donnees 23 a 25 une autre 
application. Ce dechargement libere un espace memoire suffisant pour 
accueillir la nouvelle application. Si la carte 21 ou le terminal 22 ont 
5 ulterieurement besoin de Tapplication decharg6e. lis enverront une 
commande a la banque de donnees correspondante pour recharger 
rapplication . apres avoir, le cas echeant libere a nouveau de la place 
memoire par un dechargement d'application. 

10 La constitution du terminal 20 et de la carte 21 est precisee sur la 

figure 2. Le temiinal comprend de fagon connue en soi un microprocesseur 2 
auquel sont relies une memoire ROM 3, et une memoire RAM 4. des moyens 
5 pour cooperer. avec ou sans contact physique, avec la carte a puce 21. et 
une interface de transmission 7 pemnettant au terminal de communiquer avec 

15 le r§seau de communication de donnees 26 de la figure 1. Le terminal 20 
peut en outre §tre equipe de moyens de stockage tels que des disquettes ou 
disques amovibles ou non. de moyens de saisie (tels qu'un clavier et/ou un 
dispositif de pointage du type souris) et de moyens tfaffichage. ces diff6rents 
moyens n'etant pas representes sur la figure 2. 

20 

Le temiinal peut §tre constitu6 par tout appareil informatique installe 
sur un site prive ou public et apte a foumir des moyens de gestion de 
information ou de d6livrance de divers biens ou services, cet appareil etant 
installe a demeure ou portable. II peut notamment s'agir aussi d'un appareil 
25 dedi6 aux telecommunications. 

Par ailleurs, la carte 21 porte une puce incluant des moyens de 
traitement de I'information 9. une memoire non volatile 10, une m6moire 
volatile de travail RAM 14. et des moyens 13 pour cooperer avec le temiinal 
30 20. Cette puce est agencee pour definir. dans la memoire 10. une zone 
seaete 11 dans laquelle des informations une fois enregistrees. sont 
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inaccessibies depuis I'exterieur de la puce mais seulement accessibles aux 
moyens de traitement 9, et una zone accessible 12 qui est rendue accessible 
depuis I'exterieur de la puce par le microprocesseur 9 pour une lecture et/ou 
une §criture d'informations. Chaque zone de la m6moire non volatile 10 peut 
5 comprendre une partle non modifiable ROM et une partie modifiable EPROM, 
EEPROM. ou constitute de memoire RAM du type "flash" ou FRAM (cette 
derniere etant une memoire RAM ferromagnetique), c'est-a-dire presentant 
les caracttristiques d'une memoire EEPROM avec en outre des temps 
d'acces Identiques a ceux d'une RAM classique. 

10 

En tant que puce, on pourra notamment utiliser un 
microprocesseur autoprogrammable a memoire non volatile, tel que decrit 
dans le brevet americain n" 4.382.279 au nom de la Demanderesse. Comma 
indique en colonne 1, lignes 13-25 de ce brevet, le caracl^re 

15 autoprogrammable de ia puce correspond ^ la possibility pour un 
programme fi situ§ dans une m§moire ROM, de modifier un autre 
programme fj situe dans une mtmoire programmable en un programme gj. 
Dans une variante, le microprocesseur de la puce est remplace - ou tout du 
moins complete - par des circuits logiques implantes dans une puce a semi- 

20 conducteurs. En effet, de tels circuits sont aptes a effectuer des calculs, 
notamment d'authentification et de signature, grace a de I'electronique 
c§blee, et non microprogrammee. lis peuvent notamment etre de type ASIC 
(de I'anglais « Application Specific Integrated Circuit »). A titre d'exemple 
d'ASIC, on peut citer le composant de la societe SIEMENS commercialise 

25 sous la reference SLE 4436 et celui de la societe SGS-THOMSON 
commercialist sous la reference ST 1335. Avantageusement, la puce sera 
congue sous forme monolithique. 

Une variante de la figure 2 est illustree sur la figure 3, ou le 
30 terminal 22 de la figure 1 comprend, outre les Elements du terminal 20, ceux 
de la carte 21 disposes dans un module 15, les Elements communs aux 
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deux figures 2,3 portant les memes references. Toutefois. les moyens de 
cooperation 5.13 de la figure 2 sent remplaces par une liaison permanente 
antra la microprocesseur 2 et le microprocesseur 9. 

5 Une variante de la figure 3 est representee sur la figure 5. Ici, le 

terminal 50 ne comprend qu'un seul microprocesseur 51 ou Equivalent . rell6 
^ une memoire RAM 52 et a une memoire non volatile 53. La memoire non 
volatile 53 comprend une zone 54 rendue accessible de Texterieur du 
terminal par le microprocesseur 51. et une zone secrete 55 accessible 

10 seulement au microprocesseur 51. Le microprocesseur 51 possede la 
caracteristique autoprogrammable du microprocesseur 9, decrite en relation 
avec la figure 2. Enfin, le terminal 50 possede une interface de transmission 
56 lui permettant de communiquer avec le reseau de communication de 
donn6es 26 de la figure 1. 

15 

La description qui suit fera reference, de fagon non limitative, a la 
fonne de realisation de la figure 2 et le terminal 20 sera d§nomm6 
« lecteur » en raison de sa fonction lecteur de la carte 21 . 

20 Les memoires de la carte sont organisees de la fa?on suivante : 

une memoire de type ROM. une memoire de travail de type RAM. et une 
memoire programmable non volatile de type EEPROM ou FLASH. Comme 
represents sur le tableau 1, la memoire ROM contient une zone de systeme 
d'exploitation de base comprenant au minimum des sous-programmes ou 

25 routines telles que cedes d'entree/sortie et d'ecriture/lecture en memoire et 
una zone de systeme d'exploitation d'une memoire virtuelle. cette memoire 
virtuelle etant constituSe par la memoire des banques de donnees 23 a 25. 
Le systeme d'exploitation de base et le systeme d'exploitation de la memoire 
virtuelle fomient ensemble ce que Ton appellera par la suite le « systeme 

30 d'exploitation de la carte ». 
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Le systeme d'exploitation de la memoire virtuelle est capable de 
gerer de preference au moins neuf commandes. Quatre commandes au 
molns sont tancees par le lecteur vers la carte : 

- Chargement d'appiications en carte. 

5 - Execution en carte des applications pr6c6demment charg6es. 

- Effacement d'appiications en carte. 

- Controle de presence d'appiications en carte. 

Cinq autres commandes sont Ianc6es par la carte vers le lecteur : 

- D6chargement d'appiications vers le reseau . 
10 - Rechargement d'appiications depuis le reseau. 

- Suspension du processus de chargement . 

- Reprise du processus de chargement. 

- Effacement d'appiications dans le reseau. 

Dans une r6alisation particuliere, le systeme d'exploitation de la memoire 
15 virtuello flltre et transmet au programme de {'application charg§ en memoire 
programmable, tous les ordres regus de I'ext^rieur qui doivent fetre trait6s 
par ce programme. 

Dans le present texte, le terme « information » designe tout 
20 programme executable ou donn6e non executable en g§n6ral. Le terms 
« application » d6signe un programme particulier, destine a mettre en 
oeuvre une application d'un fournisseur de services ou de produits, et des 
donnees d'application associees.. 

Toujours selon le tableau 1, la memoire programmable comporte 
25 au minimum trois zones : 

-une premiere zone dite " des donnees de systeme " contenant un code "C" 
identifiant la carte ; 

-une seconde zone dite « de donnees de gestion » contenant des donn§es 
de gestion des applications , a savoir une cle de signature dite " SWAP " 
30 particuliere a cheque carte, une ou plusieurs cl6s de chiffrement li§es selon 



wo 99/53401 



PCT/FR99/00877 



10 

le cas a des fournisseurs d'applications ou a des applications particulieres, 
et un tableau appele " TAB_APPLI ". et 

-une troisieme zone dite « de cliargement ». utilises pour recevoir les 
informations d'applications, c'est-a-dire du programme executable et/ou des 
5 donates n§cessaires au fonctionnement de ce programme. 

Au depart, la carte peut etre donnee a son porteur avec une zone 
de chargement et un tableau TAB_APPLI vides. Au moins la cle SWAP est 
situee dans la zone secrete 1 1 de la memoire non volatile 10 de la carte. 

10 



Zone de chargement des informations d'applications 

Zone des donnees de gestion (SWAP. TAB_APPLI, ..) 
Zone des donnees de systeme (code C ) 



Zone du systeme d'exploitation de la memoire virtuelle 

(ROM) 



Zone du systeme d'exploitation de base 
(ROM) 
Tableau 1 

Le tableau TAB_APPLI contient les informations correspondent 
aux applications disponibles dans la .carte, soil que ces applications sont 
15 physiquement contenues en carte . soit qu'elles sont virtuellement 
contenues en carte car d§chargees vers le reseau. II a la structure suivante : 
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Code de 


Adresse de 


nombre 


Signature 


Chargement/ 


I'application 


stockage 


d'octets 


des informations 


Dechargement 


1 


ADR-I 


1 


SGN-I 


Charge 


J 


ADR-J 


m 


SGN-J 


Decharge 


K 


ADR-K 


n 


SGN-K 


Charge 


Tableau 2 : 1 


FAB APPLI 



Le tableau TAB_APPLI 2 comprend autant de iignes que d'applications 
rendues disponibles par la carte et, pour chaque ligne, cinq colonnes. Une 

5 premiere colonne d^finit un code d'identification I.J.K de I'application. Une 
deuxieme colonne definit une adresse de stockage ADR-I,ADR-J,ADR-K a 
partir de laquelle I'application est stockee en carte. Une troisieme colonne 
definit un nombre d'octets representant la quantite d'informations de 
I'application. Une quatrieme colonne definit une signature portant sur 

10 I'ensemble des octets de I'application , calcul^e en utilisant un algorithme et 
la cle SWAP de la carte en tant que cl§ secrete. En tant qu'algorithme , on 
peut utiliser un algorithme sym^trique tel que le D.E.S. (de I'anglais Data 
Encryption Standard) ou asymetrique tel que le R.S.A. (des auteurs Rivest, 
Shamir et Adieman) ; avantageusement cependant, il suffira d'utiliser une 

15 fonction plus simple, telle qu'une fonction de hachage comma MD5 ou SHA. 
ou une fonction telle que le « ou exclusif », puisque, dans le cadre de 
invention , la signature ne sort pas de la carte et se trouve done preservee. 
Enfin, une cinquieme colonne definit si I'application concernee est dans un 
6tat « chargi » en carte ou « decharge » dans une banque de donnees. 

20 Dans un premier temps, un porteur de carte ou un foumisseur 

d'applications desire charger en carte une premiere application ayant un 
code d'identification " K". L'execution d'une commande de chargement peut 
etre conditionn^e par une authentification de porteur ou de fournisseur 
d'applications menee a bien. Le mecanisme d'authentification bien connu en 

25 soi consiste, pour le porteur ou le fournisseur d'applications, a fournir a la 



wo 99/53401 



PCT/FR99/00877 



12 

carte une information lui permettant de s'assurer qu'elle dialogue avec un 

interlocuteur habiiite. 

La commande de chargement contient un ordre de chargement, le 
code C de la carte, le code K de I'application et le nombre d'octets n 
5 d'infomiations correspondent a cette application, ce qui donne le format de 
commande suivant : 



1 Ordre de Chargement 


Carte C 


Appli K 


nombre n J 



Une fois la commande regue par la carte, le syst^me 
10 d'exploitation de la carte verifie que le code C envoye est bien le meme que 
celui enregistre dans la zone des donnees de systeme . Dans la negative, la 
carte renvoie au reseau un message d'erreur. Dans Taffirmative, les 
informations de Tapplication sont done bien destinees a cette carte : le 
systeme d'exploitation de la carte lit alors le tableau TAB.APPLl dans la 
15 zone des donnees de gestion pour determiner s'il s'agit rfun chargement 
initial ou non. Au depart. TAB.APPLl ne contient pas d'informations sur 
l-application K ; si ce n'est pas le cas. la carte repond au lecleur par le 
message « application deja chargee » ; si c'est le cas. il s'agit done d'un 
chargement initial. Le systeme d'exploitation de la carte determine si les n 
20 octets peuvent fetre loges dans sa memoire : dans I'affimiative. elle calcule 
radresse de debut " ADR-K " d'un premier bloc de n octets disponibles dans 
la zone de chargement. Dans la negative, elle renvoie le message 
•« memoire Insuffisante ». Enfin. la carte indique au lecteur qu'il peut envoyer 
les n octets de Tapplication. a Taide de la reponse " OK.Chargement Le 
25 lecteur envoie alors les n octets de rapplication . 

Une fois les informations de I'application stockees en memoire 
programmable, le systeme d'exploitation de la carte calcule la signature 
« SGN-K » de ces informations. II rentre alors dans le tableau TAB_APPLI 
30 le code d'application K. I'adresse de stockage ADR-K. le nombre d'octets n. 
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et la signature SGN-K. Une fois cette operation effectu6e, Tindicateur 
" Chargement/Dechargement " est positionne sur " Charge ". La mise a jour 
du tableau TAB_APPLI 6tant terminee, le systeme d'exploitation de la carte 
peut alors envoyer un compte-rendu, d travers le lecteur, au porteur de carte 
5 ou au foumisseur d'applicatlons, indiquant que le chargement de 
I'application a 6te correctement effectue. Le tableau TAB_APPLI possede 
aiors la structure suivante : 



Code 
de 

I'application 


Adresse 
de 

stockage 


Nombre 

d'octets 


Signature 
des 

informations 


Chargement/ 
Dechargement 


K 


ADR-K 


n 


SGN-K 


Charge 


Tableau 3 : TAE 


1 APPLI 



10 

Selofi une premidre variante. le systeme d'exploitation de la carte 
peut lancer, juste apres le chargement, le programme executable contenu 
dans les informations applicatives, c'est-a-dire dans les informations de 
rapplicatlon. Ceci permet d'initialiser les informations applicatives. Par 

15 exemple, dans le cas d'une application Porte-Monnaie Electronique, la 
premiere execution du programme permet d'initialiser a 0 Frs le solde du 
porte-monnaie 6crit dans la memoire. Selon une seconde variante, le 
programme executable est lance lors d'une premiere commande envoyee 
par le lecteur a la carte et faisant appel a I'application consideree. De fagon 

20 simple, i'adresse de debut d'execution de I'application est « ADR-K ». mais 
on peut utillser un adressage indirect : I'adresse designee est alors, de 
fafon connue en soi dans le domaine des microprocesseurs, le contenu de 
la memoire not§ [ADR-K] qui contient I'adresse d'execution. 

25 Le lecteur envoie k la carte des commandes en specifiant le type 

d'application ; par exemple, ce type peut &tre code dans le premier des cinq 
octets d'une commande selon la norme ISO 7816-3 ; cet octet est appel§ 
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dans la dite norme : « CLA ». Le systeme d'exploitation de la memoire 
virtuelle de la carte controle les commandes que lui envoie le lecteur et 
determine le code de I'application correspondant a la commande. Puis. 11 lit 
dans le tableau TAB^APPLI si le code est ecrit ; si c'est le cas. la carte peut 

5 executer I'application K. Si ce n'est pas le cas. la carte ne peut ex6cuter 
I'application K : elle repond en envoyant un message d'erreur. Si le code K 
est ecrit dans TAB_APPLI. la valeur de I'indicateur 
«Chargement/Dechargement» est ensuite testee. S'il est positionne sur 
« Chargement ». les infomnations applicatives sont bien presentes en 

10 memoire programmable de la carte. Dans ce cas. le systeme d'exploitation 
de la carte donne la main a un programme de I'application situ6 S I'adresse 
ADR-K ou [ADR-K]. Nous aliens voir par la suite ce qui se passe lorsque la 
memoire programmable de la carte ne contient pas les informations 
applicatives, parce qu'elles ont deja ete dechargees. 

15 

Supposons maintenant que le porteur de carte ou le fqunnisseur 
d'applications desire que sa carte contienne les Informations d'une seconde 
application, notee « J » par exemple. Cela est possible en chargeant les 
informations applicatives « J » dans la memoire programmable de la carte. 
20 De meme que precedemment. le porteur de carte ou le foumisseur 
d'applications s'authentifie en presentant un secret suivi de la commande de 
chargement d'informations applicatives suivante : 



1 Ordre de chargement 


Carte C 


Appli J 


nombre m 



25 Elle se presente comme la precedente relative au chargement de 
I'application K ; ici, le nombre d'octets de I'application est m. 

Le systeme d'exploitation de la carte verifie le code C et 
recherche le premier bloc de m octets disponible dans la memoire 
30 programmable. Supposons que la memoire programmable ne peut 
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physiquement contenir en nn§me temps les deux blocs d' informations 
applicatives constitues par rapplication K et I'appiication J, mais qu'elle peut 
contenir I'appiication J si elle decharge tout ou partie de I'appiication K. La 
carte informe le lecteur qu'elle suspend le processus de chargement de 
5 {'application J d I'aide d'une commande specifique envoyee au lecteur, et 
decide alors de decharger rapplication K dans une banque de donnees qui 
peut §tre consideree comma la memoire virtuelle de la carte. Ce 
dechargement va lib§rer de la place memoire pour charger I'appiication J. 

10 Le dechargement consiste alors a transferer dans I'une des 

banques de donnees 23 a 25 du reseau destinee notamment a la carte 
actuelle, les informations applicatives particulieres a cette carte. Par le 
calcul de signature effectue lors du chargement, la carte est assuree de 
pouvoir contrdler I'integrite et I'authenticite de ses propres informations lors 

15 d'un rechargement ulterleur. De plus, le fait d'avoir deja effectue le calcul de 
signature lors du chargement initial optimise le temps d'execution de la 
commande de dechargement. La carte envoie au lecteur la commande 
suivante : 



Ordre de dechargement 


Carte C 


Appli K 


nombre n 


n octets 


vers le reseau 








d'informations 



20 

Cette commande comporte, comme la commande de chargement, 
le code C de la carte, celui K de I'appiication a decharger ,et le nombre 
d'octets n d'informations de I'appiication ; elle comporte en plus le contenu 
meme de ces n octets d'informations, transmis au lecteur en meme temps 
25 que I'ordre de dechargement. Dans le cas ou le dechargement de 
rapplication intervient alors qu'une partie de celte-ci a deja ete executee, 
des informations de contexte, pemnettant de reprendre ulterieurement 
I'execution de I'appiication a I'endroit ou elle a et§ interrompue, sont, soit 
stockees dans la memoire programmable de la carte , soit ajoutees aux n 
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octets d'informations de I'application et dechargees en mfeme temps qu'eux 
dans ie reseau. 

II est possible d'indiquer un identifiant de destinataire sous la 
5 forme d'une adresse de reseau. Avantageusement. le reseau possfede une 
table de correspondance qui associe chaque carte a I'adresse de la banque 
de donnte qui lui est notamment destinee. Ceci permet d'eviter S la carte 
d'avoir S stocker ladite adresse ou ledit identifiant. et de rassembler dans 
une meme banque de donnees toutes les informations dechargees a partir 
10 d'une m§me carte. 

Le lecteur revolt la commande, mais reconnait qu'elle est destinee 
au reseau : il la renvoie done vers la banque de donnees ^ laquelle elle est 
adress6e. Si le reseau possede piusieurs banques de donnees. le choix 
15 peut s'effectuer en fonction du code C de la carte. La banque de donnee 
regoit les n octets d'informations applicatives et renvoie ^ la carte, via le 
lecteur. un accuse de bonne reception indiquant que le stockage s'est bien 
passe.' La carte modifie alors le tableau TAB_APPLI en positlonnant 
I'indicateur Chargement/Dechargement sur " Decharge". La place memoire 
20 occupee jusque-la par les informations applicatives de I'application K 
devient disponible. L'op6ration de chargement de I'application J peut alors 
reprendre et la carte envoie au lecteur une commande de reprise du 
processus de chargement ; I'operation de chargement s'effectue de fagon 
identique a celle de K. Le systeme d'exploitation de la carte detemiine 
25 I'adresse de stockage ADR-J des m octets de I'application J et indique au 
lecteur par un message « OK_Chargement » qu'il peut envoyer les m octets 
d'informations applicatives. 

Le lecteur envoie les m octets d'informations applicatives qui sont 
30 ecrits a partir de I'adresse " ADR-J Une fois les infomiations de 
rapplteation J stockees en memoire programmable, le systeme d'exploitation 
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de la carte calcule une signature de celles-ci en effectuant un calcul 
cryptographique a I'aide de la cle SWAP. Enfin, le systeme d'exploitation 
met a jour le tableau TAB_APPLI en §crivant le code J, les valeurs ADR-J, m 
et SGN-J, et met S jour I'indicateur " Chargement/Dechargement " en le 
5 posltionnant sur " Charge ". Le systeme d'exploitation peut alors envoyer au 
iecteur un compte-rendu indiquant que le chargement a ete correctement 
effectue. 

Le tableau TAB_APPL1 possede alors les valeurs suivantes : 

10 



Code de 


Adresse 


nombre 


Signature 


Chargement/ 


rapplication 


stockage 


d'octets 


des donnees 


Dechargement 


K 


ADR-K 


n 


SGN-K 


Decharge 


J 


ADR-J 


m 


SGN-J 


Charge 



tableau 4 : TAB APPLI 



Une fois temninee la mise a jour du tableau TAB_APPLI, le 
systeme d'exploitation de la carte peut alors lancer I'application J de la 

15 m§me fagon qu'll a Ianc6 I'application K et la carte execute la commande 
d'execution que le Iecteur lui avait envoyee. 

Si le porteur de carte ou le fournisseur d'applications connecte sa 
carte a un Iecteur et desire executer une nouvelle fois I'application K, le 
systeme d'exploitation de la carte analyse le contenu du tableau TAB_APPLI 

20 pour determiner si cette application est accessible avec cette carte. Dans le 
cas present, I'application K est bien enregistree dans TAB_APPLI. mais elle 
a §t§ dechargee dans le reseau. Une autre application est en m§moire, c'est 
J et elle occupe m octets. Le systeme d'exploitation teste alors si 
I'application K qui occupe n octets en memoire peut etre charg^e dans ce 

25 qui reste disponible en memoire. Comme on I'a suppose precedemment, la 
r6ponse a ce test est negative. Le systeme d'exploitation decide alors de 
decharger I'application J actuelle pour pouvoir recharger I'application K. 
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La commande. emise par la carte, de dechargement vers le 
reseau de J est : 



Ordre de dechargement 


Carte C 


Appli J 


nombre 


m octets 


vers le reseau 






m 


d'informations 







L'op6ration ur^e fois effectu§e. I'indicateur de chargement de 
I'application J dans TAB.APPLI est mis en position « Decharge ». La place 
m^moire etant maintenant disponible. le systeme d'exploitation envois au 
lecteur une commande de rechargement de I'application K depuis le reseau. 
1 0 Cette commande a le fomiat suivant : 



Ordre de rechargement 


Carte C 


Appli K 


nombre 


a partir du reseau 






n 



Le lecteur re<?oit la commande at la renvoie vers la banque de 
16 donn6e associee a la carte C. La banque de donnee qui possede les 
infomiatlons de la carte C re?oit la commande et recherche dans le f.chier 
de cette carte, les n octets d'infomiations applicatives relatives a 
I'application K. La banque de donnees elabore le message suivant. qui est 
la reponse a la derniere commande de la carte. Cette reponse est transmise 
20 k la carte via le lecteur : 



Carte C 1 AppiiK I nombre n I n octets de donnees 



25 
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Le systeme d'exploitation de la carte peut verifier que les codes 
C, K et ia valeur n regus, sont bien identiques a ceux de la commande de 
dechargement emise pr§cedemment. Si I'identite est realisee, la commande 
se poursuit par la reception des n octets de donnees qui sont Merits S partir 

5 de I'adresse ADR-K dans la zone de chargement, cette adresse etant a cet 
effet lue par le systeme d'exploitation dans le tableau TAB_APPLI ou 
recuperee a partir des informations de contexte rechargees. Dans le meme 
temps, le systeme d'exploitation calcule la signature des n octets ecrits par 
un calcul cryptographique utilisant la valeur de la cle SWAP. La signature 

1 0 recalculee est alors comparde k ia valeur 6crite dans le tableau TAB_APPLI. 
Si les donnees revues du reseau ne sont pas identiques a celles 
dechargees precedemment, les deux valeurs de signature ne seront pas 
egales. II existe alors un doute sur rauthenticite ou I'int^grite des 
infomiations regues. Les informations chargees ne peuvent done pas etre 

15 executees. La carte renvoie au lecteur un message d'erreur Indiquant une 
r^ption d'informations erronees au cours de la demiere operation de 
chargement, et I'impossibilite d'executer I'application K ; le systeme 
d'exploitation ne met pas I'indicateur de chargement en position « charge » ; 
le cas echeant, il peut effacer le contenu de I'application K. 

20 

Si en revanche les deux valeurs de signature sont 6gales, les 
lr\fonmations reQues correspondent bien a celles de rapplication K 
precedemment chargee dans la carte. Une fois ces contrdles effectu6s, le 
systeme d'exploitation de la carte met a jour le tableau TAB_APPLI en 
25 mettant I'indicateur de chargement de I'application K sur la position 
« Charge ». 
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Le tableau TAB_APPLI a alors les valeurs suivantes : 



Code de 
I'application 


Adresse de 
stockage 


nombre 
d'octets 


Signature 
des donnSes 


Chargement/ 
Dechargement 


K 


ADR-K 


n 


SGN-K 


Charge 


J 


ADR-J 


m 


SGN-J 


Decharg^ 



Tableau 5 ; TAB_APPLI 



5 Une fois terminee la mise a jour du tableau TAB_APPLI. le 

systeme d'exploitation lance i'application K comme precedemment. et la 
carte peut executer la derniere commande de type applicative envoyee par 
le lecteur. 



10 On a decrit precedemment que, lors de la reception par la carte 

d'une commande de chargement d'une application non actuellement 
stockee, le systeme d'exploitation de la carte teste la place disponible en 
memoire. Si celle-ci est suffisante. le chargement peut s'op6rer sans 
decharger I'application actuellement en memoire. II existe alors deux 

15 applications dans la carte. Le tableau TAB_APPLI prend alors la 
configuration suivante : 



Code de 
I'application 


Adresse de 
stockage 


nombre 
d'octets 


Signature 
des donnees 


Chargement/ 
Dechargement 


K 


ADR-K 


n 


SGN-K 


Charge 


1 


ADR-I 


1 


SGN-I 


Charge 


J 


ADR-J 


m 


SGN-J 


Decharge 



Tableau 6 : TAB_APPLI 
Dans cet exemple. deux applications I et K co-habitent dans la 
20 carte : elles sont directement executables. Une troisieme application J est 
accessible k I'aide de cette carte, mais il taut la recharger a partir du reseau. 
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Les memoires non volatiles de la carte contiennent les informations 
suivantes : 



ADR-K 

Programme de 
{'application K 

Donnees 

de rapplication K 



ADR-I 

Programme de {'application 
I 

Donnees 

de rapplication I 




Donnees de gestion (cle SWAP, TAB_APPLI,...) 



Donnees de systeme 
(code C.) 



Systeme d'exploitation de la memoire virtuelle 
(ROM) 



Systeme d'exploitation de base 
(ROM) 



Tableau 7 

5 

Ce tableau correspond au tableau 1 precite, dans lequel la zone 
de chargement est detaillee comme suit : on voit que la zone de chargement 
des informations applicatives comprend trois sous-zones : une zone 
recevant les informations de rapplication K, une zone recevant les 
10 informations de rapplication I, et une zone residuelle libre qui est de taille 
inferieure a m. 



C 



A la lumiere de cet exemple. on comprend mieux les 
caract§ristiques de invention. La carte est dot§e d'un systdme d'exploitation 
15 minimum permettant de gerer la place memoire, de charger ou decharger 
des applications, de signer les informations applicatives a decharger vers le 
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r§seau de verifier les informations applicatives dechargees et revues du 
reseau en comparant les signatures, et de lancer des applications chargees 
dans la memoire. La signature permet de verifier que les informations 
applicatives stock6es dans la banque de donnees ont bien ete 

5 prealablement chargees dans cette carte. Le lecteur est dote d'un 
programme qui reconnalt les commandes de dechargement et rechargement 
de la carte et de moyens pour transmettre les dites commandes au reseau. 
Enfin. le reseau est equipe de banques de donnees. la memoire de ces 
banques pouvant etre consideree comme une extension de la m6moire 

10 programmable de la carte. 

Comme on I'a vu en preambule. inscription de routines dans la 
m6moire programmable pour modifier le fonctionnement du programme en 
ROM ne peut etre realisee que par des personnes connaissant ce 
15 programme. Les sauts vers ces routines et leurs retours dans le programme 
en ROM necessitent de connaltre precisement les adresses. les parametres 
d'entree et de sortie de ces routines, rutilisation de la memoire de travail, 
etc La presente invention resout ce probleme en evitant d'utiliser ces 
routines et. par voie de consequence, de divulguer les specifications de ces 
20 routines, tout en autorisant I'execution de nombreuses applications. Les 
programmes applicatifs s'executent en faisant le moins possible appel au 
programme en ROM. Le concepteur de ce programme peut indiquer les 
points d'entree a certaines routines dites elementaires : reception d'octets. 
emission d'octets. ecriture de n octets en memoire programmable, calcul 
25 cryptographique ...etc. 

Une premiere amelioration de invention consiste a chiffrer les 
infomiations applicatives pour les proteger lors de leurs drfferents transferts 
enlre le dispositif de traitement de I'information destine a accueill.r des 
30 applications (tel que la carte 21 ou le terminal 22 de la figure 1) et le r6seau. 
et lors de leur stockage en dehors de la carte 21 ou du terminal 22. 
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Un premier chiffrement d'application conceme le chargement 
initial de rappiicatton par un fournisseur d'applications et utilise une cle de 
base secrete, detenue par le dispositif de traitement de I'information et le 

5 fournisseur d'applications situe dans le reseau ; dans le cas ou le dispositif 
de traitement de I'information est une carte, son lecteur ignore la cl^ de 
base. Avantageusement, cheque application est chiffree avec une cle 
diversifiee propre, obtenue a partir de la cle de base et d'un diversifiant 
constitu§ par un param^tre sp^cifique de I'application , par exemple son 

10 code K ou son adresse de stockage ADR-K dans la memoire programmable. 
Ce diversifiant peut §tre stocke dans le tableau TAB_APPLI de sorte que le 
systems d'exploitation peut facilement le retrouver lors des commandes de 
chargement / dechargement. 

15 Lors du chargement initial de I'application par le fournisseur 

d'applications dans le dispositif de traitement de I'information 21 ou 22, ce 
fournisseur calcule la cle diversifiee associee a cette application et chiffre 
I'application au moyen de celle-ci avant de I'envoyer dans le reseau ; a 
reception, le dispositif de traitement de I'information calcule la cle diversifi§e 

20 associee a cette application et la dechiffre avec celle-ci, avant de la stocker 
dans la zone de chargement de la memoire programmable. 

Un second chiffrement de I'application conceme les 
dechargements et rechargements effectues par le dispositif de traitement de 

25 information 21, 22. Lors d'un dechargement de I'application par le dispositif 
de traitement de I'information 21.22 vers une banque de donn§es, 
I'application est a nouveau chiffree par ce dispositif. La cl§ de chiffrement 
utilis§e n'a pas a etre partagee par le dispositif de traitement de I'information 
avec tout autre interlocuteur tel que le fournisseur d'applications : n'importe 

30 quelle cle gendree par le dispositif de traitement de I'information conviendra. 
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24 

puisque c'est ce meme dispositif. et lui seul. qui effectuera le dechiffrement 
ult6rieur. 

Avantageusement. la carte peut utiliser le proc6de d§crit par le 
document US-A-4.907.270 qui a pour objet de fournir un proc6d§ pour 
s'assurer de rauthenticite et de I'integrite d'un message chiffre. 

Le chiffrement decrit ci-dessus permet d'eviter que des 
informations applicatives puissent etre decouvertes par un fraudeur. et 
emp§che la copie frauduleuse des programmes applicatifs. 

En plus des commandes decrites pr^cedemment. il est possible 
de prevoir deux commandes supplementaires : une commande d'effacement 
d'applications. et une commande de controle de presence d'applications en 
carte. 

La commande d'effacement d'applications consiste. pour le 
porteur de carte ou le fournisseur d'applications. ^ envoyer k la carte une 
commande destinee a supprimer les applications qui ne sont plus utilisees ; 
son fonnat est le suivant : 



20 



Ordre d'effacement 


Carte C 


Appli K 


nombre n 


d'applications 









Elle comprend un ordre d'effacement d'applications. le code C de la carte 
concemee. le code K de I'application. et eventuellement le nombre n 
d'octets d'infomiations de I'application. Si I'application concemee est 
25 chargee en carte . le systeme d'exploitation de la carte rend disponible 
respace memoire reserve jusque-la a I'application K. Si en revanche 
I'application K etait dechargee dans une banque de donnees. la carte envoie 
vers celle-ci un ordre d'effacement qui a le meme format que celui ci-dessus. 
Enfin. une fois que I'ordre d'effacement a ete execute, le systeme 
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d'exploitation efface la ligne du tableau TAB_APPLI concemant cette 
application. 

La commande de controle de presence d'applications en carte 
5 peut prendre deux formes differentes. La premiere forme de la commande 
penfnet au porteur de carte ou au fournisseur d'applications de demander S 
la carte si elle possede une application particuli§re ; son format est le 
suivant : 



Ordre de controle de 


Carte C 


AppliK 


nombre n 


presence d'applications 









10 

Elle comprend un ordre de controle de presence d'applications, le code C de 
la carte concemee, le code K de I'application, et eventuellement le nombre n 
d'octets d'informations de I'application. 



15 La seconde forme de la commande permet au porteur de carte ou au 
fournisseur d'applications de demander a la carte I'ensemble des lignes de 
son tableau TAB_APPLI , I'exclusion bien evidemment des .signatures et 
Eventuellement du nombre n d'octets et de I'indicateur de chargement. Le 
format de ia commande est le suivant : 

20 



Ordre de controle de presence d'applications 



Carte C 



Une seconde amelioration de I'invention consiste a ne declencher 
le ddchargement d'une application vers le reseau que lorsque cela est 
n6cessaire. Si, au moment ou il faut liberer de la memoire, I'application 
25 charg^e n'a pas ete modifiee et si le reseau possede deja les memes 
infonnatlons applicatives de cette application, il n'est pas utile de decharger 
ces infomnations. La seconde amelioration a pour objet d'eviter de stocker 
plusieurs fois les memes valeurs d'informations applicatives sur le reseau. 
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Pour mettre en place cette amelioration il faut modifier le tableau 
TAB_APPLI, voici la nouvelle structure : 



Code de 
lapplication 


Adresse de 
stockage 


nombre 
d'octets 


Signature 

des 
informations 


Chargement/ 
Dechargement 


Modification 


K 


ADR-K 


n 


SGN-K 


Charge/ 
Decharge 


OUI/ 
NON 



On a ajoute une sixi§me colonne au tableau, qui contient un 
indicateur note ' Modification pouvant prendre deux valeurs : Oui ou Non. 
Lors du chargement initial d'une application. I'indicateur est positionn§ a 
10 " Oui " : cette valeur indique qu'il faut decharger les informations appUcatives 
vers le reseau pour liberer la place memoire correspondante. Par centre, 
apres une commande de rechargement a partir du reseau. Tindicateur est 
positionne a " Non " : cette valeur indique que les informations applicatives 
stockees en memoire programmable du dispositif de traitement de 
15 I'information (carte 21 ou terminal 22 de la figure 1) sont identiques ^ celles 
memorisees dans la banque de donnees du reseau. Tant que I'indicateur 
reste a « Non ». le systeme d'exploitation du dispositif de traitement de 
I'information n'effectue pas de commande de dechargement de I'application ; 
11 positionne uniquement I'indicateur de chargement en position 
20 « Decharge » pour qu'une autre application puisse occuper sa place en 
memoire. L'indicateur est positionne a «Oui» lorsque I'on modifie les 
Infomiations applicatives ; par voie de consequence, la valeur de signature 
n'est alors plus exacte : il faudra la recalculer lors du dechargement. 

25 Cette modification peut intervenir dans au moins deux cas. Le 

premier cas est une mise a jour du programme applicat.f. soit pour le rendre 
plus performant en rajoutant des fonctions suppl6mentaires. soit pour 
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corriger un defaut. Le second cas arrive frequemment lorsque, dans la 
memoire programmable du dispositif de traitement de Tinformation 21 ou 22 , 
des donnees sont melees au programme applicatif. Par exemple, une 
application porte-monnaie electronique contient a la fois le logiciel pour 
5 gerer les debits et les credits, mais aussi des donnees dont le soldo. A 
chaque utilisation, cette valeur evolue g§neralement et done, Tindicateur 
" Modification " est. presque toujours en position " Oui \ 

Ce dernier exemple amene a une troisieme amelioration de la 
10 presente invention. On voit que dans les informations applicatives, existent a 
la fois du programme executable et des valeurs de donnees applicatives 
susceptibles d'evoluer souvent. Les moyens decrits dans la troisieme 
amelioration decrite ci-apres permettent de bien separer les deux types 
d'informations. Le dispositif de traitement de Tinformation choisit alors de ne 
15 decharger vers le reseau que les informations quil a effectivement 
modifiees. 

Pour realiser cette troisieme amelioration, il convient de 
perfectionner Torganisation des memoires non volatiles, qui peut se 
20 schematiser de la fagon suivante : 
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Programme 
de rapplication 
(memoire programmable) 



Donnees 
de rapplication 



Donn6es 
evolutives 
sequence 1 



Donnees 
evolutives 
sequence 2 



Donnees de gestion (cle SWAP. TAbWpLI.-) en memoi?^ogrammable 
Donnees de type systeme en memoire programmable 

(code C, ) 



Systeme d'exploitation de la memoire virtuelle 
(ROM) 

Systeme d'exploitation de base 
(ROM) 
tableau 9 



Le tableau 9 differe du tableau 1 precite par la structure de sa 
5 zone de chargement de la memoire programmable, qui se presente comme 
suit : 

- un bloc relatif a I'application en tant que telle et comprenant deux sous- 
blocs d'informations : 
10 -un bloc relatif au programme executable de rapplication. note 

« programme de I'application » ; 

- un bloc relatif aux donnees (non executables) evolutives de 
I'application, note « donnees de I'application » ; 
-un certain nombre de blocs de donnees (non executables) evolutives 
15 correspondant a des executions particulieres du programme executable : 
ces executions sont appelees par la suite des « sequences Par definition. 
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ies donnees d'une sequence sont temporaires, c'est-a-dire qu'elles ne sont 
utilisdes que tors de cette sequence , et pas lors des sequences 
prec^dentes ou suivantes. C'est ce qui Ies distingue des <c donnees de 
rapplication » pr^cit§es, lesquelles sont utilisees durant toutes Ies 
5 sequences. Sur ie tableau 9, deux blocs de donnees de sequences sont 
represent^s, notes <c donnees evolutives sequence 1 » et « donnees 
6volutives sequence 2 ». Le role de ces differents blocs d'informations sera 
expiiqu^ dans I'exemple qui va suivre. 

10 Pour realiser cette troisieme amelioration, le tableau TAB_APPLI 

est modifie, 11 possede la structure suivante : 



Code 
application/ 
Num^ro de 
sequence 


Informations relatives 
au programme executable et 
aux donnees de rapplication 


informations relatives 
aux donn6es Evolutives 
des sequences notEes « i » 


adresse 

de 
stockage 


nombre 
d'octets 


signatu- 
re 


Charge./ 
D^charge. 


adresse de 
stockage 


nombre 
d'octets 


signature 


Charge./ 
□^charge 


P/1 


ADR- 

Cod-P 


p-cod 


SGN- 

cod-P 


Charge 


ADR- 

Dat-P/1 


p-dat 


SGN-dat-P/1 


Charge 


P/2 


ADR- 
Cod-P 


p-cod 


SGN- 
cod-P 


Charge 


ADR- 
Dat-P/2 


p-dat 


SGN-dat-P/2 


Charge 


J/1 


ADR- 
Cod-J 


j-cod 


SGN- 
cod-J 


Charge 


ADR- 
Dat-J/1 


j-dat 


SGN-dat-J/1 


Charge 


J/2 


ADR- 
Cod-J 


j*cod 


SON- 
cod-J 


Charge 


ADR- 
Dat-J/2 


j-dat 


SGN-dat-J/2 


D6charg6 



tableau 10 :TAB_APPLI 

15 

Vis-a-vis du tableau TAB_APPLI 2 precite, ce tableau presente 
Ies differences suivantes. La premidre colonne specifie, outre le code de 
rapplication , le numero « i » de la sequence concernee. Les informations 
trait^es le sont en deux groupes : celles relatives au programme executable 
20 et aux donnees de rapplication , et celles relatives aux donnees evolutives 
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des sequences. Pour chaque groupe d'informations . on retrouve les quatre 
colonnes suivantes du tableau TAB.APPLI 2 : adresse de stockage . 
nombre d'octets . signature . indicateur de chargement. Chaque ligne du 
tableau correspond a une sequence donn^e P/1 ou P/2 toutes deux relatives 

5 a une application P. ou une sequence J/1 ou J/2 toutes deux relatives S une 
autre application J. Dans differentes cases du tableau . le code de 
rapplication est mentionne pour rappeler que la valeur consideree est 
relative a une application donnee ; par exemple : 
. ADR-Cod-P : adresse de stockage relative a I'application P 

10 • j-cod . nombre d'octets relatif a rapplication J 

Par ailleurs. le symbole « Cod » indique que la valeur consideree est 
relative a une information de type « application » (programme ou donnees 
du premier groupe). tandis que « Dat . indique que la valeur consideree est 
relative a une information de type « sequence » (donnees du second 

16 groupe) ; par exemple : 

. SGN-cod-P : signature d'informations (programme ou donnees ) relatives 
a rapplication P 

. SGN.dat-J/2 : signature de donnees relatives a la sequence N°2 de 
20 rapplication J 

Un exemple decrira mieux le probleme pose et la fagon de le 
resoudre en utilisant la presente invention. 

Le dispositif de traitement de rinformation (carte 21 dans ce cas) 

25 vient de recevoir une commande de chargement initial de rapplication P : 
application de palement de type Porte-Monnaie Electronique (PME). Les 
infomiations applicatives stockees en memoire programmable sont le 
programme executable et les donnees relatives S rapplication ; II n'y a pas 
encore de donnees evolutives correspondant a une sequence. Ces 

30 informations comprennent n-Cod octets stockes a partir d'une adresse 
ADR-Cod-P. L'indicateur de chargement est positionne a « Charge ». En 
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plus des informations relatives au programme executable et aux clonn§es de 
I'application, les informations transmises lors de la commande contiennent 
un nombre d'octets de donnees evolutives « p-dat » relatives k une 
sequence i. Le tableau TAB_APPLI possede alors les valeurs suivantes : 



Code 
application 


Informations relatives 
au programme executable et 

aux donnees de rapplication 


infomiations relatives 
aux donnees Evolutives 
des sequences not^es « j » 


Num^ro de 
sequence 


adresse 

de 
stockage 


nombre 
d'octets 


signature 


Charg6./ 
D^charg^. 


adresse de 
stockage 


nombre 
d'octets 


signature 


Charge./ 
D6charg6 


P/i 


ADR- 
Cod-P 


p-cod 


SGN- 
cod-P 


Charge 


0 


p-dat 


0 


0 



tableau 11 :TAB APPLI 



Les transactions sont validSes par un circuit electronique appel^ 
module de security. Ce module peut se situer soit dans le terminal iecteur de 

10 carte 20 de la figure 1, soit, si on desire un maximum de securite, dans un 
centre d'agrement bancaire qui peut se situer tres loin du terminal 20 . Une 
transaction de type P.M.E. se deroule en plusieurs §tapes qui necessitent 
des communications entre la carte, le terminal et le module de security. 
L'achat peut s'effectuer chez un commergant dot§ d'un terminal avec 

15 module, mais il peut aussi §tre fait au domicile du porteur de la carte dont le 
terminal n'est pas dote d'un module. 

La carte est soliicitee pour effectuer un achat par un ordre 
d'Initialisation d'une transaction. Le systdme d'exploitation de la carte 

20 reconnait un ordre de type applicatif ; il inten'oge alors son tableau 
TAB_APPLI. L'interrogation du tableau lui indique que I'application 
correspondant a I'ordre est bien chargee et qu'aucune sequence n'a 6te 
allouee. Le systeme d'exploitation initialise alors une sequence en lui 
attribuant un numero , « 1 » par example. II alloue a cette sequence une 

25 place memoire de « n-dat » octets, a partir de I'adresse ADR-Dat-P/1. 
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L'indicateur de chargement correspondant a cette sequence est positionn§ 
sur « Charge ». Le tableau TAB_APPLI possede alors les valeurs suivantes 



informations relatives 
aux donndes evoiutives 
des sequences not^es « i » 




Puis, le systems d'exploitation de la carte lance le programme 
applicatif en effecluant un saut a I'adresse ADR-Cod-P :. il specif.e I'adresse 
ADR-Dat-P/1 des donndes temporaires a utiliser. ce qui permet a 

10 rapplication de connaltre Tendroit ou sont memoris6es les donnees de la 
sequence. Ces donnees sont. entre autres. le montant de la transaction. 
I'objet de la transaction. I'organisme vendeur et la date de la transaction. En 
revanche, une donnee telle que le solde du porte-monnaie electronique 
n'est pas une donnee temporaire de sequence, car sa duree de vie depasse 

15 celle d'une sequence ; etant de type applicative, cette donnee est 
memoris6e avec le programme de I'application. 

Lachat d'un premier produit est en cours : la carte envoie alors au 
lecteur 20 un message en vue d'obtenir une validation de la transaction 
20 auprds d'un centre de paiement accessible par le reseau. Cette 
communication peut durer un certain temps. En effet. les communications 
peuvent etre perturb6es et les donnees envoyees peuvent etre longuement 
analysees par le centre d'agrement bancaire. Tout cela provoque un 
allongement de la duree globale de la transaction. Pendant ce temps. 
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rutilisateur decide d'effectuer un second achat. La presente invention va 
permettre d'eviter d'attendre la fin de la premiere transaction pour 
commencer la seconde. 

5 Pour effectuer ce second achat, la carte est sollicit§e una 

seconde fois par un nouvel ordre d'initialisation d'une transaction. De m§me 
que precedemment, le systeme d'exploitation de la carte verifie que le 
programme executable de Tapplication PME est chargee en m§moire 
programmable. Cette verification s'effectue en interrogeant son tableau 

10 TAB_APPLI ; le systeme d'exploitation reconnait alors la presence du 
programme et d'une sequence (1) qui est en cours. Pour cela, il affecte a 
cette seconde execution un nouveau numero de sequence (2) et initialise le 
tableau TAB_APPLI en rajoutant une nouvelle ligne a celui-ci. Puis, il verifie 
s'il existe suffisamment de place pour allouer dans la memoire 

15 programmable n-dat octets pour les informations de types donnees non 
executables. Si la place est suffisante, une nouvelle adresse ADR-Dat-P/2 
est detenninee et la seconde transaction peut etre lancee. Le tableau 
TAB_APPLI possede les valeurs suivantes : 



Code 
appiication / 
Num6ro de 
sequence 


Informations relatives 
au progrannnne ex6cutable et 
aux donnees de rapplication 


informations relatives 
aux donnees evolutives 
des sequences not^es « i » 


adresse 

de 
stockage 


nombre 
d'octets 


signature 


Charge./ 
D^charg6 


adresse de 
stockage 


nombre 
d'octets 


signature 


Charg6./ 
D^charg 


P/1 


ADR- 
Cod-P 


n-cod 


SGN- 
cod-P 


Charge 


ADR- 
Dat-P/1 


n-dat 


0 


Charge 


P/2 


ADR-^ 
Cod-P 


n-cod 


SGN- 
cod-P 


Chargi 


ADR- 
Dat-P/2 


n-dat 


0 


Charge 


tableau 1 


FAB APPL 


13 



Les deux transactions seront alors realisees en parallele dans ia 
carte, sans faire appel au reseau. Le lecteur doit indiquer dans les 
commandes applicatives envoyees a la carte, de quelle transaction il s'agit. 
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SI la place est insuffisante, le systems d'exploitation de la carte 
decide de decharger uniquement les donnees evolutives correspondent a la 
premiere transaction (numero de sequence 1). II calcule alors la signature 
5 des dites donnees de la premiere sequence « SGN-dat-P/1 et I'inscrit 
dans le tableau TAB.APPLI. Les nouvelles donnees non ex6cutables 
pourront ainsi etre a la meme place que les donnees dechargees, c'est-S- 
dire a une adresse commune aux deux sequences et notee ADR-Dat-P. 
Puis, la carte envoie au lecteur la commande suivante : 

10 




Cette commande est de structure identique a celle precitee. avec la 
difference suivante : la troisieme case contient un parametre specifiant non 
seulement le code P de rapplication . mais aussi le fait qu'il s'ag.t de 
15 donnees de type sequence (par le terme « Data »). et le numero 1 de la 
sequence concernee. 

A la suite de cette commande. le tableau TAB.APPLI poss^de les 
valeurs suivantes : 



20 



Code 
application / 
Numero de 
sequence 



Informations relatives 
au programme executable et 
aux donnees de rapplication 




SGN- 
cod-P 
SGN- 
cod-P 

tableau TAB^PPL1 14 



informations relatives 
aux donnees Evolutives 
des sequences not^es « i » 

"chargE./ 
D6charg6 
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Suite a cette operation, la seconde transaction portant le num§ro 
de sequence 2 peut se poursuivre. Cette nouvelie transaction n^cessite 
aussi una validation de la part du centre de paiement : une demande est 
5 done 6nriise vers ie module de securite. Supposons que la carte re9oive k ce 
moment un message de validation de la premiere transaction. Le systSme 
d'exploitation de la carte reconnait, a I'aide du numero de sequence, que ce 
message concerne une autre transaction que ceile en cours et, par la lecture 
du tableau TAB_APPLI, il reconnalt la premiere transaction. Pour la traiter, II 
1 0 doit done charger les donnees non executables de la premiere transaction. 

Sachant que la place memoire est insuffisante pour les deux blocs 
de donnees, le systeme d'exploitation de la carte doit done decharger les 
donnees de la seconde transaction. II calcule alors la signature des dites 
15 donnees «€GN-dat-P/2 », et I'inserit dans le tableau TAB_APPLI. Puis, la 
carte envoie au lecteur la commande suivante : 



ordre de dechargement vers 


carte c 


appli p - data - 


nombre 


« n_dat » 


le reseau 




numero de sequence 
2 


n_dat 


octets de donnees 



Le tableau TAB_APPLI possede alors les valeurs suivantes : 

20 



Code 
application / 
Numero de 
sequence 


Informations relatives 
au programme executable et 
aux donnees de rapplication 


informations relatives 
aux donn6es 6volutives 
des sequences not^es « i » 


adresse 

de 
stockage 


nombre 
d'octets 


signature 


Charge./ 
Ddchargd 


adresse de 
stockage 


nombre 
d'octets 


signature 


Charge./ 
D^charg 


P/1 


ADR- 
Cod-P 


n-cod 


SGN- 
cod-P 


Charge 


ADR- 
Dat-P 


n-dat 


SGN-dat- 
P/1 


D^charg 


P/2 


ADR- 
Cod-P 


n-cod 


SGN- 
cod-P 


Charge 


ADR- 
Dat-P 


n-dat 


SGN-dat- 
P/2 


D^charg 



tableau TAB APPL1 15 
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Le systeme d'exploitation de la carte envoie alors au lecteur la 
commande suivante : 



Commande de rechargement 


Carte C 


Appli P - Data - num6ro 


nombre 


k partir du reseau 




de sequence 1 


rvdat 



Cette commande difffere de la commande de rechargement deja decrite en 
ce que la troisieme case contient un parametre specifiant non seulement le 
code P de rapplication . mais aussi le fait qu'il s'agit de donnees de type 
sequence (par le terme « Data »). at le numero 1 de la sequence concernee. 



10 



Le lecteur regoit la commande et la renvoie vers la banque de 
donnee affectee notamment a la carte C. La banque de donnee recherche 
dans le fichier de cette carte, les n^at octets de donnees non executables 
relatives S rapplication P. numero de sequence 1. La banque de donnees 
15 elabore le message suivant. qui est la r^ponse a la derniere commande de 
la carte ; cette reponse est transmise a la carte via le lecteur : 



Carte C 


Appli P - Data- numero 


n-dat 


n-dat octets de 




de sequence 1 




donnees 



Cette commande differe de la reponse a une commande de rechargement 
20 deja deaite en ce que la deuxieme case contient un parametre specifiant 
non seulement le code P de rapplication . mais aussi le fait qu'il s'agit de 
donnees de type sequence (par le terme « Data et le numero 1 de la 
sequence concernee. 

25 Le systeme d'exploitation de la carte peut effectuer une operation 

preliminaire selon laquelle il verifie que les codes C. P. le numero de 
sequence et la valeur n-dat regus. sont bien identiques a ceux de la 
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commande 6mise prec6clemment. Si l'identit§ est r§alis§e, les n-dat octets 
regus sont memorises a partir de I'adresse ADR-dat-P lue dans le tableau 
TAB_APPLI . Une fois le dernier octet eait. le systeme d'exploitation 
recalcule la signature des donnees a I'aide d'un calcul cryptographique 

5 utilisant la valeur de la cle SWAP. La signature recalculee est alors 
compar6e a la valeur « SGN-dat-P/1 » ecrite dans le tableau TAB_APPLI. SI 
les deux valeurs de signature ne seront pas egales, les donnees regues du 
r6seau sont consid6rees commee non identiques a celles dechargees 
prec6demment. II existe done un doute sur I'authenticite ou I'int^grite des 

10 donnees regues. La carte renvoie au lecteur un message d'enreur indiquant 
la reception de donnees erronees au cours de la derniere operation de 
chargement, et Timpossibilite de continuer la transaction. 

Si les deux valeurs sont egales, les donnees regues sont 
15 considerees comme identiques a celles precedemment dechargees par la 
carte : la premiere transaction peut done continuer. Le systeme 
d'exploitation de la carte met ensuite a jour le tableau TAB_APPLI en 
positionnant I'indicateur des donnees de Tapplication P/1 a « Charge » : 



Code 
application / 
Num6ro de 
sequence 


Informations relatives 
au programme executable et 
aux donnees de Tapplication 


informations 
aux donnees 
des sequences 


relatives 
evolutives 
not6es « i 


7> 


adresse 

de 
stockage 


nombre 
d'octets 


signature 


Charge./ 
D6charg6 


adresse de 
stockage 


nombre 
d*octets 


signature 


Charg6./ 
D6charg6 


P/1 


ADR- 
Cod-P 


n-cod 


SGN- 
cod-P 


Charg6 


ADR- 
Dat-P 


n-dat 


SGN-dat- 
P/1 


Charg6 


P/2 


ADR- 
Cod-P 


n-cod 


S6N- 

cod-P 


Charge 


ADR- 
Dat-P 


n-dat 


SGN-dat- 
P/2 


D^charg^ 



20 tableau TAB_APPL1 16 

La mise a jour du tableau TAB_APPLI etant terminee, le systeme 
d'exploitation lance I'application P qui va continuer la premiere transaction. 
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La premiere transaction etant terminee. I'execution du programme 
de I'application se termine par un retour au systeme d'exploitation gerant la 
memore virtuelle. Le systeme Sexploitation reconnalt alors la fin de la 
5 sequence « 1 » et decide de lib§rer la place m6moire correspondent aux 
donnees de la dite sequence. Pour cela. il efface les infomiations « adresse 
de stockage ». « signature » et I'indicateur de chargement/dechargement en 
les mettant S la valeur zero. 



10 



Code 
application / 
Num6ro de 
sequence 



Le tableau TAB_APPLI a alors les v aleurs suivantes 

informations relatives I informations relatives 

au programme executable et aux donnSes 6volutives 

aux donnees de l applicatlon des sequences not6es * . » 




SGN- 
cod-P 

tableau TAB_APPL1 17 
Lorsque la carte regoit ia validation de la seconde transaction, le 
systeme d'exploitation de la carte reconnalt. a I'aide du numero de 
sequence, que ce message concerne une autre transaction qui n'est pas 
15 chargee. La premiere transaction etant tem^inee. les donnees non 
executabies correspondantes ne sont plus utiles. II n'y a done pas lieu de les 
d^charger. II suff.t done de charger les donnees non executabies 
correspondent a la seconde transaction. Le systeme d'exploitation envoie au 
lecteur la commande suivante : 



20 



Commande de rechargement 


Carte 


Appli P - Data - numero 


nombre 


a partir du reseau 


C 


de sequence 2 


n-dat 
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De meme que pour le chargement de la sequence 1, le lecteur 
re9oit la commande et la renvoie vers la banque de donnee. La banque de 
donnee recherche, dans le fichier de cette carte, les n-dat octets de donnees 
non executables relatives a Tapplication P. numero de sequence 2. La 
5 banque de donnees 6labore le message suivant qui est transmis S la carte 
via le lecteur : 



Carte C 


Appli P - Data- numero 


nombre 


n-dat octets de 




de sequence 2 


n-dat 


donnees 



Le systeme d'exploitation de la carte peut effectuer une operation 
10 preliminaire selon laquelle 11 verifie les codes C, P, le numero de sequence, 
et la valeur n-dat re?us. Si la verification est conforme, les octets sont ecrits. 
Ensuite, le systeme d'exploitation calcule et verifie la signature des 
donnees. Si les deux valours sont egales, les donnees regues sont 
considerees comme identiques a eel les precedemment decharg6es par la 
15 carte : la seconde transaction peut done continuer. Le systeme Sexploitation 
met a jour le tableau TAB_APPLI en positionnant Tindicateur de chargement 
de Tapplication 912 a « Charge » : 



Code 
application / 
Numero de 
sequence 


Informations relatives 
au programme executable et 
aux donnees de rapplication 


infonmations relatives 
aux donnees evoluttves 
des sequences not6es « i » 


adresse 

de 
stockage 


nombre 
d'octets 


signature 


Charge./ 
Ddcharg^ 


adresse de 
stockage 


nombre 
d'octets 


signature 


Charge./ 
D6charg6 


P/1 


ADR- 
Cod-P 


n-cod 


SGN- 
cod-P 


Charge 


0 


n-dat 


0 


0 


pn 


ADR- 
Cod-P 


n-cod 


SGM- 
cod-P 


Charge 


ADR- 
Dat-P 


n-dat 


SGN-dat- 
P/2 


Charge 



tableau 



AB APPL1 18 



20 La mise a jour du tableau TAB_APPLI etant terminee, le systeme 

d'exploitation lance I'application P qui va continuer la seconde transaction. 
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La seconde transaction etant terminee. le programme de 
rapplication se termine par une instruction de retour au systeme 
d'exploitation gerant la memoire virtuelle. Le systeme d'exploitation en 
5 deduit que la sequence « 2 » est termin6e ; la place m§moire peut alors §tre 
hberee Pour cela. les emplacement, dans le tableau TAB.APPLI. de : 
«adresse de stockage >>. « signature. et I'indicateur de 
chargement/dechargement sont mis a zero. Le tableau prend les valeurs 
suivantes : 

10 



Code 
application / 
Num6ro de 
sequence 


Informations relatives 
au programme executable et 
aux donnees de rapplication 


in 
au 
des 


formations 
X donn6es 
sequences 


relatives 
6volutives 
not6es « i 




adresse 

de 
stockage 


nombre 
d'octets 


signature 


Charge./ 
Decharge 


adresse de 
stockage 


nombre 
d'octets 


signature 


Charge./ 
D6charg§ 


pn 


ADR- 
Cod-P 


n-cod 


SGN- 
cod-P 


Charge 


0 


n-dat 


0 


0 
0 




ADR- 
Cod-P 


n-cod 


SGN- 
cod-P 


Charge 


0 


n*dat 


0 










tableau ' 


TAB_APPLI19 



A ce stade. le systeme d'exploitation de la carte peut effacer 
entierement une ligne du tableau TAB_APPLI. La gestion des lignes du 
15 tableau TAB^APPLI s'effectue alors dynamiquement en fonction des 
besoins. 

une autre methode statique pour gerer le tableau est de decider 
une fois pour toutes le nombre de sequences maximum executables pour 
20 une application : soit « s . ce nombre. « s . est alors transmis lors de la 
commande de chargement initial d'application : le systeme d'exploitation 
reserve dans le tableau TAB.APPLl la place correspondent a ces « s » 
sequences. Prenons par exemple pour s la valeur 2. 
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La commande de chargement de I'application K possede les 
valeurs suivantes : 



Ordre de Chargement 


Carte C 


Appli K 


nombre n 


s=2 








n-cod 


n-dat 





5 



Cette cx)mmancle differe de celle decrite prec6demment en ce qu'elle inclut 
une cinquieme case definissant la valeur du parametre s. On notera qu'ici la 
commande specifie le nombre n-cod d'octets relatifs a Tapplication at 
envoyes par la commande, et te nombre n-dat d'octets relatifs a chaque 
10 sequence future et reserves a cet usage. En variante, le nombre n-dat 
d'octets peut ne pas etre transmis a ce stade. mais fourni plus tard au 
systeme d'exploitation de la carte par Tapplication qui y est charg6e. 

A la suite de cette commande. le systeme d'exploitation met a jour 
15 le tableau TAB APPLI avec les valeurs suivantes : 



Code 
application / 
Num^ro de 
sequence 


Informations relatives 
au programme executable et 
aux donnees de Tapplication 


informations relatives 
aux donnees 6volutives 
des sequences not6es « i » 


adresse 

de 
stockage 


nombre 
d'octets 


signature 


Charge./ 
Decharg^ 


adresse de 
stockage 


nombre 
d'octets 


signature 


Charge./ 
D^charg^ 


K/1 


ADR- 
Cod-K 


n-cod 


SGN- 
cod-K 


Charge 


0 


n-dat 


0 


0 




ADR- 
Cod-K 


n-cod 


SGN- 
cod-K 


Charge 


0 


n-dat 


0 


0 


tableau 1 


rAB APPL 


20 



20 L'application K peut maintenant §tre execut^e : deux sequences 

sont possibles. 
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La carte peut parfaitement contenir de fa?on virtuelle plusieurs 
applications dotees chacune de plusieurs sequences. Par exemple. void 
une configuration particullere du tableau TAB_APPLI : 



Code 
application / 


informations relatives 
au programme executable et 
aux donn^es de I'application 


ini 
au 
des i 


brmations 
X donnees 
>6quences 


relatives 
fevoiuttves 
not6es « i ) 


» 


Num6ro de 
sequence 


adresse 

de 
stockage 


nombre 

d'octets 


signature 


Charge./ 
D6charg6 


adresse de 
stockage 


nombre 
d'octets 


signature 


Charg6./ 
D^charg^ 

0 


K/1 


ADR- 
Cod'K 


k-cod 


SGN- 
cod-K 


Decharge 


0 


k-dat 


0 




K/2 


ADR- 
Cod-K 


k-cod 


SGN- 
cod-K 


Decharge 


ADR- 
Dat-KG 


k-dat 


SGN-dat- 
K/2 


D6charg6 
Charge 




ADR- 
Cod-K 


k-cod 


SGN- 
cod-K 


D6charg§ 


ADR- 
Dat-K/3 


k-dat 


SGN-dat- 
K/3 






ADR- 
Cod-J 


j-cod 


SGN- 

cod-J 


Charge 


ADR- 
Dat-J/1 


j-dat 


SGN-dat- 

J/1 
' SGN-dat- 


Charg6 
' D6charg6 


3^2 


ADR- 
Cod-J 


j-cod 


SGN- 
cod-J 


Charge 

TAD ADDI 


ADR- 
Dat-J/2 

1 Oi 


j-dat 


J/2 





Correspondant a cet exemple, la carte possMe virtuellement 
deux applications notees . K et J. Le programme executable de I'application 

10 K n'est pas er, zor,e de chargement , trois sequences de cette application, 
notees 1,2 et 3, peuvent s'ex6cuter en meme temps. La premiere sequence 
est temtin^e, les deux autres sort en cours tfex^cution. La sequence 2 est 
d^chargte : il faudra done la recharger pour la tenrtner. De plus, pour 
temiiner les sequences 2 et 3, il faudra recharger le programme executable 

15 et les donnees de I'application K. 

Le programme executable de I'application J est en zone de 
chargement ; cette application peut executer en m6me temps deux 
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Sequences, not§es 1 et 2, qui sont en cours d'execution. La sequence 2 est 
d^chargSe : il faudra la recharger pour la temniner. 

De cet exemple, on voit apparaltre la nScessite de bien gSrer la 
5 place m6moire disponlble. II faut occuper le plus possible la zone de 
chargement et ainsi eviter le plus souvent les commandes de DSchargement 
et Rechargement. 

Bien evidemment, ramelioration consistent a chiffrer les donnees, 
10 en plus de les signer, lors du dechargement et a les d§chiffrer lors du 
chargement/rechargement, peut s'appliquer a cette troisieme amelioration. 

Une amelioration de la procedure de chargement initial d'une 
application en carte consiste a introduire dans la carte une signature des 
15 Informations applicatives calculee a partir d'une cle de foumisseur 
d'application. Cette signature pennet de s'assurer de rint6grite des 
informations applicatives et d'authentifier Torigine de ces donnees 
applicatives. 

20 Le chargement initial selon I'amelioration consiste d presenter la 

carte au foumisseur d'application. II est conseill6 d'effectuer cette operation 
dans les locaux du foumisseur d'application. Ce dernier Introduit dans la 
carte sa cle de foumisseur, la signature des informations applicatives, et le 
code de I'application, « K » par exemple. Un porteur de la carte effectue une 

25 demande de chargement initial de I'application K. Cette demande, qui a 6te 
d§crite precedemment, peut etre faite a son domicile. Une methode pour 
effectuer de fa^on s^curisee le chargement initial d'une application est 
decrite dans le document FR-A-2.748.134. 

30 Selon une variante de realisation de I'Invention , les applications 

stockees en carte ne sont pas dechargees dans une banque de donnees 
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distante. au travers dun reseau : c'est le lecteur 20 de la figure 2 qui regoit 
et stocke ces applications ; il possede alors a cet effet une memoire 
programmable non volatile dans laquelle sont stockees les applications. Les 
commandes de chargement et de dechargement sont inchang6es. Cette 
5 variante est interessante lorsque la carte est introduite toujours dans le 
m§me lecteur. par exemple un lecteur situe au domicile du porteur de carte. 

Une autre variante de realisation de I'invention utilise le lecteur de 
carte 40 et la carte a puce 41 de la figure 4. dont les elements communs 

10 avec ceux de la figure 2 portent les memes references. La carte 41 se 
distingue de celle 21 de la figure 2 en ce qu'elle porte une piste optique 42. 
par exemple une piste a ecriture et lecture par rayon laser. Quant au lecteur 
de carte 40. il se distingue de celui 20 en ce qu'il comporte un lecteur de 
piste optique 43. apte a lire et ecrire des informations sur la piste optique 42. 

1 5 relie au microprocesseur 2 et aux memoires 3.4. 

Selon I'invention . la piste optique 42 est utilisee en tant que 
banque de donnees . au lieu de celles distantes 23 ^ 25 de la figure 1. En 
pratique, lors du dechargement d'une application depuis la carte 41. la carte 
20 transmet la commande de dechargement au lecteur de carte 40. Le lecteur 
de piste 43 reQoit les informations de I'application et les ecrit sur la piste 
optique 42. Lors d'une commando de rechargement. le lecteur de carte 
active le lecteur de piste 43 pour qu'il preleve sur la piste optique 42 les 
informations de Tapplication : le lecteur de carte transmet ensuite ces 
25 informations au microprocesseur 9 de la carte pour que celui-ci les stocke 
dans la zone de chargement. Les commandes de chargement et de 
d6chargement sont toutefois inchangees. 

En variante. la piste optique est remplac6e par un autre support § 
stockage de masse, par exemple une piste magnfetique. 

30 
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Dans les exemples de realisation precedents, on a dScrit un 
dechargement d'applications depuis un dispositif de traitement de 
I'information vers I'exterieur de celui-ci : dans le cas de la figure 2, la carte 
21 effectuait un dechargement vers ie lecteur 20 ou les banques de donnSes 
5 23-25 de la figure 1 ; dans le cas de la figure 4. le dispositif de traitement de 
{'information constitue par le microprocesseur 9 et ses mSmoires 10,14 
effectuait un dechargement vers la piste optique 42. Selon une autre 
variante de realisation de I" invention, un dispositif de traitement de 
I'information effectue un dechargement entre plusieurs memoires de ce 
10 dispositif. Par exemple, ce dispositif de traitement de i'information est 
constitue par la carte 21 de la figure 2 et le microprocesseur 9 decharge une 
application depuis sa memoire RAM 14 vers sa memoire non volatile 10. 

Par exemple, plusieurs applications K, J sont stockees dans la 
15 memoire non volatile 10. Tout d'abord, I'appiication K est executee. A cette 
occasion, des informations de travail Itk relatives ^ I'appiication K sont 
traitees en memoire RAM, tandis qu'un programme de I'appiication K reste 
en memoire non volatile 10. Ces informations de travail comprennent 
notamment : 

20 - des variables de travail temporaires, intervenant dans des calculs ; 

- des variables de contexte, permettant a la carte de reprendre 
ulterieurement une execution d'application interrompue ; 

- des sous-programmes. 

A un moment donne, la carte doit executer ['autre application J et, pour cela, 
25 charger des informations de travail Itj dans la memoire RAM. Si la carte 
constate que I'espace libre dans la memoire RAM est insuffisant pour 
recevoir les informations de travail Itj , elle decide de stopper I'execution de 
I'appiication K et de decharger les informations de travail Itk de I'appiication 
K dans sa memoire non volatile 10. Puis elle execute I'appiication J en 
30 chargeant les informations de travail Itj associees en memoire RAM. Apres 
execution de I'appiication J, la carte reprend {'execution de ('application K, a 
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I'endroit ou celle-ci a ete interrompue. en chargeant a nouveau Ies 
informations de travail It^ en memoire RAM. 

Dans cette derniere variante de I'invention. Ies commandes de 
5 chargement et de dechargement ne sont pas utilis6es. puisque le dispositif 
de traitement de rinformation concerne n'a pas a avertir un disposifrf exteme 
pour effectuer les operations de chargement et dechargement de ses 
memoires. II possede encore un tableau TAB_APPL1. mais celui-c. est 
simplifie par rapport au tableau 2 precite : ie parametre « signature des 
10 infonnations. est supprime. En effet. les informations ne sortant pas du 
dispositif de traitement de I'infomiation. elles ne risquent pas d'fetre alterees 
durant leur dechargement 

Dans ce qui pr^cAOe. on a surtout dtoit la prise de decision, par 
1<; la carte, du d^rgement tfun enser«ble d'infonnations suite S un ordre 
re?u par la carte de chargement dun autre ensertle tfinfonnations. On 
rappelle cependant que rinvention couvre aussi le cas oC I'ordre resu par la 
carte vise a executor une autre operation que le chargement tfun ensemlMe 
d'infom,ations. Par exemple, un traitement particulier demand* k la carte 
20 peut requ^rir une place memoire superieuro a I'espaco actuellement 
disponible dans la memoire de la carte : il peut s'agir notarament tfun calcul 
ayptographique. Dans ce cas, la carte d^cidera de d^harger un ensemble 
d'infon^tions pour pouvoir ex4euter cette operation. Un autre example est 
celui ou I'ordre regu par la carte est un ordre tfex^cution tfune application K 
25 qui a 616 pr6c4demment dechargfe de la carte. La carte doit done recharger 
ce«e applicaUon pour I'extoter : si la place memoire est insufr,sante pour 
ce rechai^ment. la carte va d^der de decharger une autre applicaUon J, 
puis effectuer le rechargement de fapplication K. 
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REVENDICATIONS 

1. Carte a puce comprenant des moyens de traitement de I'information 
(9) et des moyens de memorisation de I'infomnation principaux (10,14), 

5 caract^risee en ce que ies moyens de traitement comprennent : 

- des moyens pour detecter, au cours du fonctionnement de la carte ^ 
puce, que Ies moyens de memorisation principaux (10,14) contiennent une 
quantity d'informations telle que I'execution d'une operation n'est pas 
possible ; 

10 - des moyens pour selectionner, dans Ies moyens de memorisation 

principaux, un ensemble d'informations a decharger (K), dont le 
d^chargement peut lib^rer dans Ies moyens de memorisation principaux un 
espace suffisant pour autoriser rexecution de ladite operation ; 

- des moyens pour decharger {'ensemble d'informations a decharger 
15 (K) dans des moyens de m6morisatioii secondaires (23 a 25 ; 42 ; 53) , dans 

le cas ou lesdits moyens de memorisation secondaires ne contiennent pas 
ledit ensemble d'informations i decharger. 

2. Carte a puce selon la revendication 1 , qui comprend un tableau de 
20 chargement (TAB_APPLI) stocke dans Ies moyens de memorisation 

principaux et incluant un indicateur de stockage indiquant, pour au moins un 
ensemble d'informations , si celui-ci est stocke ou non dans Ies moyens de 
memorisation principaux, de sorte que , lorsque Ies moyens de traitement (9) 
doivent avoir acces audit ensemble d'informations , ils consultant ledit 
25 indicateur de stockage : et 

- dans un premier cas ou I'indicateur de stockage indique que 
I'ensemble d'informations est stocke , Ies moyens de traitement accedent a 
celui-ci ; ou 

- dans un second cas ou I'indicateur de stockage indique que 
30 I'ensemble d'informations n'est pas stocke , Ies moyens de traitement 
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envolent aux moyens de memorisation secondaires (23 a 25 ; 42 ; 53) une 
commande de chargement de cet ensemble d-informations. 

3 Carte S puce selon la revendlcation 2, dans laquelle I'indicateur de 
5 stockage comporte un etat « charge, indiquant que I'ensemble 
d'informations correspondent a ete ct^arge dans la carte i puce a partir des 
moyens de memorisation secondaires (23 a 25 ; 42 ; 53). et un etat 
« decharg6 » indiquant que I'ensemble d'informations a ete decharge par la 
carte ^ puce dans les moyens de memorisation secondaires. 

10 

4. Carte a puce selon la revendlcation 1. qui comprend un tableau de 
chargement (TAB.APPLI) stocke dans les moyens de memorisation 
principaux (10.14) et incluant un indicateur de modification indiquant. pour au 
moins un ensemble d'informations dont une premiere version a ete chargee 
15 dans la carte ^ puce a partir des moyens de memorisation secondaires (23 a 
25 • 42 • 53). si cette premiere version a ete modifiee ou non dans la carte a 
puce, de telle sorte que. lorsque cet ensemble d'infom^ations doit fetre 
decharge dans les moyens de memorisation secondaires. il n'est 
effectivement decharge que si cette premiere version a 6te modifiee. 

20 

5 Carte ^ puce selon la revendlcation 1. qui stocke au moms un 
ensemble d'.nfomiations en deux parties, a savoir un sous^nsemble 
d'infom^ations d'application (p-cod) contenant un programme et des donn6es 
generates de fonctionnement d'une application, et un sous-ensemble 
25 d'informations de sequence (p-dat) contenant des donnees particui.eres 
d6f.nissant une session particuliere de fonctionnement de I'application . et qu. 
comprend des moyens pour detecter que plusieurs ensembles d'informations 
possfedent un m&me sous-ensemble d'infom^ations d'application (p-cod) et 
des sous-ensembles d'informations de sequence respectifs differents (p-dat). 
30 de sorte qu'il ne stocke dans les moyens de memorisation principaux (10.14) 
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qu'une fois ledit sous-ensemble conformations d'application et qu'il associe a 
celui-ci chacun desdits sous-ensembles d' informations de sequence. 

6. Carte a puce selon la revendication 5, qui comprend : 

5 - des moyens pour detecter, au cours de son fonctionnement, que les 

moyens de memorisation principaux (10,14) contiennent une quantity 
d'informations telle que le stockage supplementaire d'un sous-ensemble 
d'informations de sequence (p-dat) a stocker , associe a un sous-ensemble 
d'informations d'application (p-cod) deja stocks, n'est pas possible ; 

10 - des moyens pour s§lectionner, dans les moyens de memorisation 

principaux, un sous-ensemble d'informations de sequence a decharger, 
associe au meme sous-ensemble d'informations d'application , dont le 
dechargement peut liberer dans les moyens de memorisation principaux un 
espace suffisant pour autoriser le stockage dudit sous-ensemble 

1 5 d'informations de sequence a stocker ; 

- des moyens pour decharger ce sous-ensemble dans lesdits moyens 
de memorisation secondaires (23 ^ 25 ; 42 ; 53), dans le cas ou lesdits 
moyens de memorisation secondaires ne contiennent pas ledit sous- 
ensemble d'informations de sequence a decharger ; et 

20 - des moyens pour stocker dans les moyens de memorisation 

principaux le sous-ensemble d'informations de sequence § stocker. 

7. Carte a puce selon la revendication 5, qui comprend un tableau de 
chargement (TAB_APPLI) stocke dans les moyens de memorisation 

25 principaux et incluant, pour cheque sous-ensemble d'infomnations 
d'application stocke. un nombre maximum (s) de sequences associees, 
pouvant etre stockees dans les moyens de memorisation principaux. 

8. Carte a puce selon la revendication 1, qui comprend des moyens 
30 pour recharger dans les moyens de memorisation principaux (10,14) un 
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ensemble d' informations prealablement decharge dans les moyens de 
memorisation secondaires (23 a 25 ; 42 ; 53). 

9. Carte ^ puce selon la revendication 8. qui comprend un tableau de 
5 chargement (TAB.APPLI) stocke dans les moyens de memorisation 
principaux (10.14) et incluant. pour au moins un ensemble rfinformations (K) 
traite par le dispositif. une premiere signature (SGN-K) de cet ensemble 
d'infomiations calculee par les moyens de traitement (9) avant le 
dechargement 6ventuel de I'ensemble d'information. avec une cle de 
10 signature (SWAP) stockee dans les moyens de memorisation principaux. les 
moyens de traitement 6tant agences pour calculer une seconde signature de 
l-ensemble d' informations recharge, pour comparer cette seconde signature 
avec la premiere, pour valider le rechargement de I'ensemble d'informations 
dans le cas ou les deux signatures sont identiques. et pour inval.der le 
15 rechargement de I'ensemble d'infomiations dans le cas ou les deux 
signatures sont differentes. 

10 Precede de gestion de la m^moire dans une carte a puce 
comprenant des moyens de traitement de rinfom^ation (9) et des moyens de 
20 memorisation de r.nfonnation principaux (10.14). caracterise en ce qu'.l 
comprend les etapes consistent a : 

-detecler. au cours du fonctionnement de la carte a puce, que les 
moyens de memorisation principaux (10.14) contiennent une quantity 
d'informations telle que I'execution d'une operation n'est pas possible ; 
25 -seiectionner. dans les moyens de memorisation principaux. un 

ensemble d'infonnations a d^charger (K). dont le dechargement peut liberer 
dans les moyens de memorisation principaux un espace suffisant pour 
autoriser I'execution de ladite operation ; 

-decharger I'ensemble d'informations a decharger (K) dans des 
30 moyens de memorisation secondaires (23 a 25 ; 42 ; 53) . dans le cas oCi 
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lesdits moyens de memorisation secondaires ne contiennent pas iedit 
ensemble d'Informations a decharger. 

11. Precede selon la revendication 10, qui comprend les etapes 
5 consistant a : 

- d^tecter, au cours du fonctionnement de la carte a puce, que les 
moyens de memorisation principaux (10,14) contiennent une quantity 
d'informations telle qu'un stockage supplementaire d'un ensemble donn^ 
d'Informations prealablement decharge est possible ; 

10 - recharger dans les moyens de memorisation principaux Iedit 

ensemble d'informations d6charge. 

12. Precede selon la revendication 10, qui comprend les etapes 
consistant a : 

15 - detecter, au cours du fonctionnement de la carte ^ puce, que les 

moyens de memorisation principaux (10,14) contiennent une quantity 
d'informations telle qu'un stockage supplementaire d'un ensemble donne 
d'informations prealablement decharge (K) n'est pas possible ; 

- selectionner, dans les moyens de memorisation principaux, un 
20 ensemble d'informations a decharger (J), dont le dechargement peut liberer 

dans les moyens de memorisation principaux un espace suffisant pour 
autoriser le stockage dudit ensemble d'infomnations prealablement decharge ; 

- decharger {'ensemble d'informations a decharger (J) dans les moyens 
de memorisation secondaires (23 a 25 ; 42 ; 53), dans le cas oCi lesdits 

25 moyens de memorisation secondaires ne contiennent pas Iedit ensemble 
d'informations a decharger ; et 

- recharger dans les moyens de memorisation principaux Iedit 
ensemble d'infonnations prealablement decharge (K). 

30 13. Precede selon la revendication 10, dans lequel lesdits moyens de 

memorisation secondaires comprennent une banque de donnees (23-25) 
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distante de la carte a puce et reliee a celle-ci par un reseau de transmission 
de donn§es (26). 

14 Proc6de salon la revendication 10. dans lequel lesdits moyens de 
5 memorisation secondaires appartiennent a un dispositif de traitement de 
rinfomiation (20) cooperant avec la carte a puce (21). 

15. Proc§de selon la revendication 10. dans lequel lesdits moyens de 
memorisation secondaires (42:53) appartiennent a la carte a puce. 

10 . , 

16 Protocole de communication entre une carte a puce et un lecteur 

de carte a puce, la carte comprenant des moyens de traitement de 
nnformation (9) et des moyens de memorisation de Tinformation principaux 
(10 14) caracterise en ce qu'il comprend les etapes consistent en ce que : 
15 " -le lecteur transmet a la carte un ordre d'execution d'une operation ; 

-la carte recherche si. pour executer cette operation, elle dispose 
d'une place suffisante dans les moyens de memorisation principaux ; 

-dans raffimiative. la carte execute ladite operation puis transmet un 
compte-rendu d'execution au lecteur ; 
20 -dans la negative, la carte selectionne dans les moyens de 

memorisation principaux un ensemble d'infomnations a decharger (K) dont le 
d6chargement peut Iib6rer dans les moyens de memorisation princ.paux un 
espace suffisant pour autoriser Texecution de ladite operation, puis la carte 
decharge I'ensemble d'informations a decharger (K) dans des moyens de 
25 memorisation secondaires en transmettant un ordre de dechargement au 
lecteur dans le cas ou lesdits moyens de memorisation seconda.res (23 a 
25 • 42 • 53) ne contiennent pas ledit ensemble rfinformations a decharger. 
puis elle execute ladite operation puis transmet enf.n un compte-rendu 
d'execution au lecteur. 

30 
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17. Protocole selon la revendication 16, dans lequel ladite operation 
est un chargement d'un ensemble d'informations a stocker (J), les etapes 
consistant en ce que : 

-le lecteur transmet k la carte un ordre de chargement dudit ensemble 
5 d'informations h stocker (J) ; 

-la carte recherche si, pour ex6cuter cet ordre de chargement, elle 
dispose d'une place suffisante dans les moyens de memorisation 
principaux ; 

-dans I'affirmative, la carte execute I'ordre de chargement puis 
1 0 transmet un compte-rendu d'execution au lecteur ; 
-dans la negative, la carte : 

-transmet au lecteur un ordre de suspension du chargement ; 
-s§lectionne dans les moyens de memorisation principaux un 
ensemble d'informations a decharger (K) dont le dechargement 
15 peut libdrer dans les moyens de memorisation principaux un 

espace suffisant pour autoriser I'exScution de I'ordre de 
chargement ; 

-decharge I'ensemble d'informations a decharger (K) dans les 
moyens de memorisation secondaires en transmettant un ordre 

20 de dechargement au lecteur, dans le cas ou lesdits moyens de 

memorisation secondaires (23 a 25 ; 42 ; 53) ne contiennent 
pas iedit ensemble d'informations a decharger ; 
-transmet au lecteur un ordre de reprise du chargement ; 
-execute Iedit chargement puis transmet un compte-rendu 

25 d'execution au lecteur. 

18. Protocole seion la revendication 16, dans lequel Iedit ordre 
d'execution d'une operation consiste, pour le lecteur, S dSclencher une 
alimentation en energie electrique de la carte. 

30 
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